Italia: nuovi attacchi di phishing e ransomware

È stata rilevata in Italia una nuova campagna di phishing che sfrutta il nome del Ministero della Salute per esfiltrare dati anagrafici e della carta di credito. L’e-mail, con oggetto “Lo stato del tuo rimborso”, induce il destinatario a cliccare su un link presente nel testo con il pretesto di un presunto rimborso relativo a prestazioni sanitarie.

Tale collegamento indirizza l’utente a un portale malevolo che si spaccia per una pagina del Dicastero per la “Verifica Identità per Rimborso LEA” (Livelli Essenziali di Assistenza) e richiede l’inserimento di informazioni quali dati anagrafici e recapiti (nome, cognome, indirizzo di residenza, città, CAP e numero di telefono), oltre a un metodo di accredito per il rimborso (numero della carta di credito, data di scadenza e codice CVV). In aggiunta, una nuova operazione ha preso di mira utenti SPID, sfruttando il nome e il logo dell’Agenzia per l’Italia Digitale (AgID).

L’e-mail, con oggetto “Suo certificato digitale \u00e8 stato appena rinnovato”, presenta un link che rimanda a una pagina malevola. Quest’ultima replica la grafica del portale di login ufficiale del Sistema Pubblico di Identità Digitale (SPID) ed è progettata per esfiltrare le credenziali del servizio.

Passando al panorama ransomware, Coinbase Cartel ha rivendicato sul proprio sito dei leak la presunta compromissione di ASTM S.p.A., gruppo industriale internazionale attivo nei settori della gestione di reti autostradali in concessione, della progettazione e realizzazione di grandi opere infrastrutturali e della tecnologia applicata alle infrastrutture. Stando a quanto riportato nel blog, nome, fatturato e settore rimandano ad ASTM S.p.A.; tuttavia, l’operatore ransomware ha fornito come dominio quello di A.ST.I.M. S.r.l., azienda tecnologica di Ravenna (RA) fornitrice di sistemi, prodotti e servizi ad alto contenuto tecnologico per i settori industriale, navale, della sicurezza e della difesa.

Breach: colpiti ANTS e Rituals

Il 15 aprile 2026, la France Titres – Agenzia Nazionale dei Titoli Sicuri francese (ANTS) ha rilevato un grave incidente di sicurezza informatica che ha colpito il portale ants[.]gouv[.]fr, la piattaforma governativa attraverso cui milioni di cittadini francesi gestiscono le pratiche per passaporti, carte d’identità, permessi di soggiorno e patenti di guida. L’attacco ha compromesso dati personali appartenenti sia ad account privati che professionali.

Stando a quanto comunicato dal Ministero dell’Interno francese, le informazioni potenzialmente esposte includono: credenziali di accesso, titolo, nome e cognome, indirizzo e-mail, data di nascita e identificativo univoco dell’account. In alcuni casi, a seconda del profilo dell’utente, potrebbero essere stati esposti anche indirizzo postale, luogo di nascita e numero di telefono.

Le Autorità hanno precisato che i documenti caricati sul portale — come allegati e fotocopie di atti — non sono stati coinvolti nella violazione, e i dati esposti non consentono a terzi di accedere direttamente agli account compromessi. Alla luce di quanto emerso, un attaccante non identificato ha dichiarato di essere in possesso di un dataset sottratto all’ANTS contenente tra i 18 e i 19 milioni di record, e di volerlo mettere in vendita. I dati comprenderebbero nomi, indirizzi e-mail, numeri di telefono, date e luoghi di nascita, indirizzi postali e metadati degli account.

La rivendicazione non è stata ancora verificata e le Autorità ne stanno accertando l’autenticità. Se confermata, si tratterebbe di una delle più gravi violazioni di dati governativi nella storia recente della Francia.

Inoltre, il colosso olandese della cosmetica Rituals ha comunicato pubblicamente una violazione dei dati ai danni del proprio programma fedeltà “My Rituals”, che conta oltre 41 milioni di iscritti. L’incidente è stato scoperto all’inizio di aprile 2026, quando la società è stata allertata in merito a download non autorizzati effettuati sul database dei membri. Le autorità competenti sono state prontamente notificate e l’accesso degli attaccanti è stato bloccato.

Vulnerabilità: rilevate 3 0-day in Microsoft Defender

Tre vulnerabilità 0-day che colpiscono Microsoft Defender, denominate BlueHammer (tracciata come CVE-2026-33825), RedSun e UnDefend, sono state divulgate pubblicamente come exploit Proof-of-Concept (PoC) da un ricercatore noto come “Nightmare Eclipse” in segno di protesta contro la gestione del processo di disclosure da parte di Microsoft e risultano sfruttate ITW.

Se utilizzate congiuntamente, possono essere concatenate in una exploit chain in grado di portare alla compromissione completa del sistema impattato con privilegi SYSTEM. BlueHammer e RedSun sono vulnerabilità di Local Privilege Escalation (LPE), mentre UnDefend consente di indurre una condizione di Denial-of-Service (DoS) funzionale su Microsoft Defender, impedendo l’aggiornamento delle definizioni antivirus e compromettendo l’efficacia del motore di protezione. Microsoft ha corretto BlueHammer (CVE-2026-33825) nel Patch Tuesday di aprile 2026, mentre RedSun e UnDefend risultano ancora prive di patch. Dal punto di vista operativo, RedSun sfrutta il comportamento di Microsoft Defender nella gestione dei file contrassegnati con “cloud tag”.

Attraverso la registrazione di un provider Cloud Files malevolo e la manipolazione di reparse point, l’attaccante induce Defender a riscrivere un file controllato all’interno di directory sensibili, come C:\Windows\System32, utilizzando il proprio token SYSTEM. Questo consente l’inserimento di un binario arbitrario che può successivamente essere eseguito con privilegi elevati, determinando la compromissione completa del sistema.

Parallelamente, UnDefend degrada le capacità difensive impedendo l’aggiornamento delle firme antivirus, amplificando l’impatto operativo degli altri exploit. Le vulnerabilità impattano Windows 10 (tutte le versioni supportate), Windows 11 (tutte le release supportate) e Windows Server dal 2016 al 2025, a condizione che Windows Defender sia abilitato.

Ricercatori di sicurezza di una nota azienda di cybersecurity statunitense hanno osservato attività di sfruttamento attivo per tutte e tre le vulnerabilità; in particolare, BlueHammer è sfruttato almeno dal 10 aprile 2026, mentre RedSun e UnDefend sono stati rilevati su un sistema compromesso tramite un account SSLVPN violato. Le operazioni di exploitation sono avvenute dopo i tipici comandi di enumerazione: whoami /priv, cmdkey /list, net group e altri, che indicano attività manuale da parte di un avversario malevolo.

Weekly Threats è la newsletter settimanale del team di Threat Intelligence & Response di Telsy.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, la nostra squadra fornisce ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro ➡️ scopri di più sui servizi di Cyber Threat Intelligence di Telsy.